loader dinamiku , inkluż ma' OpenBSD, jista', taħt ċerti kundizzjonijiet, - l-applikazzjonijiet iħallu l-varjabbli ambjentali LD_LIBRARY_PATH u b'hekk jippermettu li kodiċi ta' parti terza jitgħabba fil-kuntest ta' proċess li jaħdem bi privileġġi elevati. Irqajja' li jiffissaw il-vulnerabbiltà huma disponibbli għar-rilaxxi и . Garża binarja () għall-pjattaformi amd64, i386 u arm64 huma diġà fil-produzzjoni u għandhom ikunu disponibbli biex jitniżżel saż-żmien li din l-aħbar tiġi ppubblikata.
L-essenza tal-problema: waqt l-operazzjoni, ld.so l-ewwel estratti l-valur tal-varjabbli LD_LIBRARY_PATH mill-ambjent u, bl-użu tal-funzjoni _dl_split_path(), jibdlu f'firxa ta 'kordi - mogħdijiet għad-direttorji. Jekk aktar tard jirriżulta li l-proċess attwali jinbeda minn applikazzjoni SUID/SGID, allura l-array maħluqa u, fil-fatt, il-varjabbli LD_LIBRARY_PATH jitneħħew. Fl-istess ħin, jekk _dl_split_path() jispiċċa mingħajr memorja (li huwa diffiċli minħabba l-limitu espliċitu ta '256 kB fuq id-daqs tal-varjabbli ambjentali, iżda teoretikament possibbli), allura l-varjabbli _dl_libpath se tirċievi l-valur NULL, u kontrolli sussegwenti ta' il-valur ta' din il-varjabbli se jġiegħel taqbeż is-sejħa għal _dl_unsetenv ("LD_LIBRARY_PATH").
Vulnerabbiltà misjuba minn esperti , kif ukoll problemi. Ir-riċerkaturi tas-sigurtà li identifikaw il-vulnerabbiltà nnutaw kemm il-problema ġiet solvuta malajr: ġiet ippreparata garża u ġew rilaxxati aġġornamenti fi żmien tliet sigħat wara li l-proġett OpenBSD irċieva notifika.
Żieda: Il-problema ġiet assenjata numru . Magħmul fil-lista tal-posta oss-security , inkluż sfruttament prototip li jaħdem fuq arkitetturi OpenBSD 6.6, 6.5, 6.2 u 6.1
amd64 u i386 (l-isfruttament jista 'jiġi adattat għal arkitetturi oħra).
Il-kwistjoni hija sfruttabbli fl-installazzjoni awtomatika u tippermetti utent lokali mhux privileġġjat jesegwixxi kodiċi bħala root permezz ta 'sostituzzjoni tal-librerija meta jħaddem l-utilitajiet chpass jew passwd suid. Biex toħloq il-kundizzjonijiet ta 'memorja baxxa meħtieġa għall-operazzjoni, issettja l-limitu RLIMIT_DATA permezz ta' setrlimit.
Sors: opennet.ru